Історія виникнення вірусних програм
ЗМІСТ
ВСТУП………………………………………………………………………………..3
1. ВІРУСНІ ТА АНТИВІРУСНІ ИПРОГРАМИ...………………………………...4
1.1. Історія виникнення вірусних програм………………………………………4
1.2. Вірусні програми……………………………………………………………..6
1.2.1.Різновиди вірусів…………………………………………………..........8
1.3.Антивірусні програми………………………………………………………10
1.3.1.Найпоширеніші антивіруси…………………………………………...14
1.4.Зараження вірусом ПК…......……………………………………………….18
2.ОХОРОНА ПРАЦІ ТА ГІГІЄНА КОРИСТУВАЧА ЕОМ…………………….23
ВИСНОВОК..………………………………………………………………….........27
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ…………..………………………….28
ДОДАТКИ
ВСТУП
Ми живемо в XXI ст. В столітті якому комп’ютерна індустрія розвивається з шаленою швидкістю.Майже кожен з нас має свій персональний комп’ютер. ПК – дуже потужна машина для збереження, оброблення, і форматування інформації різних типів. Але часто з потрібною нам інформацією на ПК потрапляють віруси різних видів і груп:
1) Завантажувальні віруси
2) Файлові віруси
3) Завантажувально- файлові віруси
4) STEALTH-віруси
5) Ретровірусами
6) Multipartition – віруси
Вони заражують ПК знищуючи інформацію, змінюючи параметри Windows, і заважаючи нормальні роботі операційні системі заторможуючи цим роботу ЦП і ОЗУ. Для захисту свого ПК були розроблені антивірусні програми, які появилися наприкінці 80-х років минулого століття, і які теж поділяються на типи за призначенням:
1) Детектори
2) Фаги
3) Ревізори
4) Фільтри
5) Вакцини
Спочатку вони були дуже примітивними, адже до певного віруса треба було мати певний антивірус.В 1992році комп’ютерна індустрія зробила великий скачок вперед. Російський програміст Ігор Данілов та його компанія “Діалог-Наука” розробили та випустили антивірусну програму Dr.WEB, яка поразила весь світ тим що, виявила 100% вірусів різних типів. За це компанія отримала нагороду від Visus Bulettin. Так і до сьогоднішніх днів Dr.WEB являється одною з самих популярних антивірусних програм.
ВІРУСНІ ТА АНТИВІРУСНІ ПРОГРАМИ
Історія виникнення вірусних програм
Історія розвитку науки і техніки, як і історія людства, повна прикладів драматичного протистояння Добра і Зла. Не обійшлися без цього протистояння і активні процеси комп’ютеризації суспільства.
Комп’ютерні віруси, отримали свою назву завдяки вмінню самостійно розповсюджуватися електронними мережами та, розмножуючись, наносити шкоду обчислювальним системам, також виникли на початку развитку комп’ютерних технологій. І якщо прослідкувати історію зародження білкових вірусів з великим відсотком достовірності зараз вже не можливо, відповісти на питання, хто конкретно і навіщо придумав комп’ютерні вируси, відносно не складно. Як кажуть, історія пам’ятає своїх героїв. Зрозуміло, що багатомільйонна армія користувачів персональних комп’ютерів повинна пам’ятати тих людей, завдяки яким з’явилося на світі таке відоме сьогодні кожному школяру поняття, як комп’ютерний вірус.
Вважають, що ідею створення комп’ютерних вірусів окреслив письменник-фантаст Т.Дж. Райн, котрий в одній із своїх книжок, написаній в США в 1977р., описав епідемію, що за короткий час охопила біля 7000 комп’ютерів. Причиною епідемії став комп’ютерний вірус, котрий передавався від одного комп’ютера до другого, пробирався в їх операційні системи і виводив комп’ютери з-під контролю людини.
В 70-х роках, коли вийшла книжка Т.Дж. Райна, описані в ній факти здавалися малою фантастикою, і мало хто міг передбачати, що вже в кінці 80-х років проблема комп’ютерних вірусів стане великою дійсністю, хоч і не смертельною для людства в єдиноборстві з комп’ютером, але призвівшою до деяких соціальних і матеріальних втрат. Під час досліджень, проведених, однією з американських асоціацій по боротьбі з комп’ютерними вірусами, за сім місяців 1988 р. комп’ютери, які належали фірмам-членам асоціації, піддавались дії 300 масових вірусних атак, які знищили близько 300 тис. комп’ютерних систем, на відтворення яких було затрачено багато часу і матеріальних затрат. В кінці 1989 р. в пресі з’явилося повідомлення про знаходження в Японії нового, надзвичайно підступного і руйнівного віруса (його назвали “червяком”), за короткий час він знищив велику кількість машин, під’єднаних до комунікаційних ліній. Переповзаючи від комп’ютера до комп’ютера, по з’єднуючих їх комунікаціях, ”червяк” спроможний знищувати вміст пам’яті, не залишаючи ніяких надій на відновлення даних. Збиток, який наноситься комп’ютерними вірусами, зростає, а їх небезпечність для таких важливих систем, як оборона, транспорт, зв’язок, поставила проблему комп’ютерних вірусів в ряд тих, котрі як правило знаходяться під пристальним наглядом органів державної безпеки.
Розроблений в Пакистані, в 1986 році, вірус отримав назву “PAKISTANI BRAIN”. Він повністю замінює вміст стартового сектора і використовує 6 доповнюючих секторів, які відмічені в FAT диску, як дефектні. Заражені дискети отримують нове ім’я COPYRIGHT@BRAIN. Наслідками зараження цим вірусом можуть бути : уповільнене завантвження ОС, часткова втрата даних.
Біля 5% виявлених заражень припадає на “ALAMEDA VIRUS”, який також відноситься до цієї групи. Цей вірус заміщує вміст завантажуючого сектора, переписуючи і зберігаючи в ньому оригінал в першому вільному секторі на диску. Механізм і наслідки зараження цим вірусом ті, що і в “PAKISTANI BRAIN”.
“ISRAELI VIRUS” заражає програми типу COM, EXE. Втілюючись в них, вірус збільшує їх розмір на 1813 байт (Інколи, посилаючись на віруси цієї групи, їм дають назви : вірус – 1813, вірус 1704 і т.д.).
Необхідно звирнути увагу на чистоту модулів, упакованих утілітами типу LXEXE, PKLITE або DIET, файлів в архівах (ZIP, ARC, ICE, ARJ, RAR і т.д.) і даних в файлах, які саморозпаковуються, створених утілітом типу ZIPEXE. Якщо випадково упакувати файл, заражений вірусом, то знаходження і знищення такого віруса без розпаковки файла практично неможливо. В такому випадку типовою буде ситуація, при котрій всі антивірусні програми повідомлять про те, що від вірусів очищено всі диски, а через деякий час вірус з’явиться знову.
Ситуація з вірусами корінним чином змінилась декілька років тому. Якщо до того моменту кожний був зайнятий безпекою свого комп’ютера і своїх даних, то із збільшенням кількості машин, з появою корпоративних ліній, виходом в Internet проблема постала по-новому. Раніше віруси пробирались на робочі місця з піратського диска. Зараз з ліцензійним П.З. все налагоджується, і ігри на робочому місці частково заборонені. Без заперечення, що WORD і EXCEL де-факто являються міжнародними стандартними документами, а макровіруси не пишуть тільки ліниві. При достатньо активному документообороті, як з західними партнерами, так і в середині держави, макровіруси можуть повністю паралізувати роботу компанії, на заході вже таке практикувалось. Друга проблема - INTERNET. Нема ніякої гарантії, що на файлових серверах вам не дадуть пару-другу вірусів. Вихід один- захист. А тут, як звичайно постає проблема вибору, який антивірус краще….
Вірусні програми
Комп'ютерний вірус - це спеціально створена програма, або сукупність машинного коду, яка здатна розмножуватись і, як правило, виконує на ПК певні деструктивні дії.
Всі віруси можна поділити на такі групи (Див. додаток1):
1) Завантажувальні віруси – Заражають завантажуючі сектори HHD; FDD.
2) Файлові віруси – Заражають файли. Ця група в свою чергу поділяється на віруси, які заражають виконувальні файли (COM, EXE-віруси); файли даних (макровіруси); віруси – супутники, які використовують імена інших програм; віруси сімейства DIR, які використовують інформацію про файлову структуру. Причому два останніх типи зовсім не модифікують файли на диску.
3) Завантажувально - файлові віруси – спроможні вражати, як код завантажувальних секторів, так і код файла. Віруси поділяються на резидентні та нерезидентні. Перші при отриманні керування, завантажуються в пам’ять і можуть діяти на відміну від нерезидентних не тільки під час роботи зараженого файла.
4) STEALTH-віруси фальсифікують інформацію, читаючи з диску так, що активна програма отримує не вірні дані. Вірус перехоплює вектор призупинення INT 13h і поставляє читаючій програмі іншу інформацію, яка показує, що на диску “все в нормі”. Ця технололгія викоритстовується як в файлових, так і в завантажувальних вірусах.
5) Ретровірусами називаються звичайні файлові віруси, котрі заражають антивірусні програми, знищюють їх або роблять їх непрацездатними. Тому практично всі антиавіруси, в першу чергу перевіряють свій розмір і контрольну суму файлів.
6) Multipartition – віруси можуть вражати одночасно EXE, COM, boot-сектор, MBR, FAT і директорії. Якщо вони до того ж володіють поліморфними властивостями і елементами невидимості, то стає зрозуміло, що такі віруси- одні з найбільш небезпечних.
«Троянський кінь» - це програма, що, маскуючи під корисну програму, виконує доповнюючі функції, про що користувач і не догадується (наприклад, збирає інформацію про імена і паролі, записуючи їх у спеціальний файл, доступний лише творцю даного вірусу), або руйнує файлову систему.
Логічна бомба - це програма, що вбудовується у великий програмний комплекс. Вона нешкідлива до настання визначеної події, після якого реалізується її логічний механізм. Наприклад, така вірусна програма починає працювати після деякого числа прикладної програми, комплексу, при чи наявності відсутності визначеного чи файлу запису файлу і т.д.
Програми-мутанти, самовідтворюючи, відтворюють копії, що явно відрізняються від оригіналу.
Віруси-невидимки, чи стелс-віруси, перехоплюють звертання операційної системи до уражених файлів і секторів дисків і підставляють замість себе незаражені об'єкти. Такі ' віруси при звертанні до файлів використовують досить оригінальні алгоритми, що дозволяють «обманювати» резидентні антивірусні монітори.
Макровіруси використовують можливості макромов, убудованих в офісні програми обробки даних (текстові редактори, електронні таблиці і т.д.).
Різновиди вірусів
Вірус CASCADE (Каскад, водоспад)
Інші назви вірусу: LetterFall (буквопад), Letter та ін.
Існує два варіанти вірусу за довжиною (1701 або 1704 байт). Заражає тільки COM-програми, резидентний. Спричиняє обсипання символів на екрані, що супроводжується характерним шелестінням. При цьому блокується можливість роботи з клавіатурою. Зберігає працездатність тільки на машинах типу PC XT/AT.
Вірус BLACK FRIDAY (Чорна п'ятницяІнші назви вірусу: Israeli Virus (ізраїльський вірус), Ierusalem (Єрусалим), Black Hole (чорна дірка) та ін.
Вірус одержав вказані назви, оскільки вперше був виявлений в ізраїльському університеті та із-за своїх характерних дій. Він заражає EXE- та COM-файли, збільшуючи їх розміри на 1813 байт, і залишається резидентним у пам'яті ПК. При цьому зараження може відбуватися неодноразово, що приводить до неймовірного розростання заражених файлів. Інфікований даним вірусом ПК сповільнює свою роботу в декілька тисяч разів. При виведенні інформації на дисплей у нижньому лівому куті екрана з'являється чорний прямокутник (дірка). Нарешті, якщо час роботи приходиться на п'ятницю 13-го числа, то заражені файли знищуються.
Характерною ознакою вірусу є наявність в його тілі сполучень MsDos а також COMMAND.COM.
Вірус DARK AVENGER (Чорний месник)
Інші назви вірусу: Eddie, Sofia.Вірус одержав свої назви по текстовому рядку "Eddie lives ... somewhere in time. This program was written in the sity of Sofia (C) 1988-89 Dark avenger", що міститься у його тілі. Вірус заражає EXE- та COM-файли, є резидентним, його довжина в байтах 1800. Вірус дуже небезпечний, оскільки на інфікованому комп'ютері файли заражаються не тільки при виконанні, але і під час їх проглядання та копіювання. Він також знищує COM-файли, довжина яких лежить у межах від 64K1800байт до 64K. Періодично знищує інформацію в одному із секторів вінчестера.
Вірус PING PONG (назва не потребує перекладу)
Інші назви вірусу: Italian Bouncing (італійський стрибунець), Ball (м'ячик).
Вірус заражає Boot-сектор дискет і записує своє тіло у вільні (інколи і у зайняті) кластери, помічаючи їх як погані (Bad). Як і всі бутові віруси є резидентним. На ПК, зараженому даним вірусом, час від часу з'являється ромбик (ASCII-код4), який, переміщуючись по екрану, відбивається від його границь та рамок, утворених символами псевдографіки.
Вірус STONED (Закам'янілий)
Інша назва вірусу: Marijuana (Маріхуана).Зовнішнє проявлення з ймовірністю 1/8 під час завантаження системи на екран видається текст "Your PC is now Stoned", після чого робота нормально продовжується. Цей вірус записується в абсолютний початковий сектор диска, який на вінчестерах містить PARTITIONTABLE. Інколи (наприклад, коли жорсткий диск розбитий на розділи за допомогою відомої системи ADM) це приводить до сумних наслідків, а саме, до втрати доступу до інформації, розташованої на диску. Для візуального розпізнання вірусу на диску може служити палкий заклик: "LEGALISE MARIJUANA!".Зауважимо, що зараз існує близько 90 штамів (різновидів) вірусу Stoned, і він досі залишається дуже поширеним.
Вірус BRAIN (Мозок)
Один із найбільш знаменитих вірусів. Він вважається першим, що одержав широке розповсюдження (розроблений у січні 1986 року). Заражає тільки стандартно відформатовані дискети ємністю 360К. На заражених дискетах з'являється мітка "(c)Brain". Займає на диску три підряд розташованих кластери, помічаючи їх як погані. Нарешті, для любителів футболу наведемо останній приклад продукту, судячи по всьому, вітчизняного виробництва. Вірус DINAMO (назва не потребує перекладу)Це бутовий вірус, який при деяких обставинах видає на екран вічну мрію київських уболівальників: "Dinamo (Kiev) champion!!!".
Рис 1. Найпоширеніші віруси
Антивірусні програми
Антивірусна програма – програма для знаходження і лікування програм, що заражені комп’ютерним вірусом, а також запобігання зараження файлу вірусом.
Антивірусні програми залежно від розробника застосовують різні способи виявлення вірусів. Та більшість переглядає файли чи пам'ять комп'ютера, аби виявити присутність відомого вірусу, дізнаючись його за характерною частини коду.
Можливість отримати старий вірус порівняно невелика, але щодня з'являються нові віруси. Задля підтримки ефективності антивірусної програми рекомендується оновлювати антивірусні програми чи його бази даних про віруси. При виборі антивірусної програми необхідно враховувати як відсоток виявлення вірусів, а й виявляти нові віруси, кількість вірусів у антивірусної базі, частоту її відновлення, наявність додаткових функцій.
Нині серйозний антивірус мусить уміти розпізнавати щонайменше 25000 вірусів. Чимало їх ми вже припинила своє існування. Існує безліч антивірусних програм. Розглянемо найвідоміші їх.
>AIDSTEST
У нашій країні, як було зазначено вище, особливої популярності придбали антивірусні програми, поєднують у собі функції детекторів та докторів конкретних. Найвідомішою є програмаAIDSTESTД.Н. Лозинського. Україна має на кожномуIBM-совместимом персональному комп'ютері є одне з версій програмних засобів. Один із останніх версія виявляє більш 8000 вірусів.
Aidstest для свого нормально функціонувати вимагає, щоб у пам'яті буврезидентних антивірусів, блокуючих запис в програмні файли, тому вони мають вивантажити, або, вказавши опцію вивантаження самоїрезидентной програмі, або скористатися відповідної утилітою.
Після запускуAidstest перевіряє себе оперативну пам'ять на наявність відомих йому вірусів і знешкоджує їх. У цьомупарализуются лише функції вірусу, пов'язані з розмноженням, інші побічні ефекти можуть залишатися. Програма по закінченні знешкодження вірусу у пам'яті видає запит про перезавантаженні. Слід обов'язково наслідувати цієї поради, якщо оператор ПЕОМ перестав бути системним програмістом, які займаються вивченням властивостей вірусів. До чого слід перезавантажитися кнопкоюRESET, бо за «теплою перезавантаженні» деякі віруси можуть зберігатися. До того ж, краще запустити автомобіль іAidstest ззащищенной від записи дискети, бо за запуску з зараженого диска вірус може записатись у пам'ять резидентом і перешкоджати лікуванню.
Aidstest тестує своє тіло на наявність відомих вірусів, і навіть по спотворень у своїй коді судить про своє зараження невідомим вірусом. У цьому можливі випадки удаваної тривоги, наприклад при стискуванні антивірусуупаковщиком. Програма немає графічного інтерфейсу, і режими її задаються з допомогою ключів. Вказавши шлях, можна перевірити не весь диск, а окремий підкаталог.
Як показало практика, найоптимальніший режим для щоденної роботи задається ключами /g (перевірка всіх файлів, Не тільки з розширеннямEXE,COM,SYS) і />s (повільна перевірка). Збільшення часу при таких опціях мало відчутно, зате можливість виявлення значно вище.
При звичайному тестуванні годі було ставити ключ />f (виправлення заражених програм, тож стирання що підлягали відновленню), і з ключем />q (видавати запит про видалення файла), оскільки будь-яка програма, зокрема і антивірусна, не застрахована від власних помилок. Ключ />f варто використовувати тоді, колиAidstest, і навіть інші антивіруси свідчить про наявність в якомусь файлі. У цьому слідперезапустить комп'ютер ззащищенной від записи дискети, оскільки система то, можливо зараженерезидентним вірусом, і тоді лікування буде неефективним, або навіть просто небезпечним. При виявленні вірусу вценном файлі слід переписати його за дискету, а ще краще – електронну, диск де він спробувати вилікувати з допомогою вказівкиAidstest-у опції />f. Якщо спроба не увінчається успіхом, треба видалити все заражені копії файла і перевірити диск знову. Якщо файлі міститься важливу інформацію, яку прати шкода, можна заархівувати файл і почекати виходу нової версіїAidstest чи іншого антивірусу, здатної лікувати цей тип вірусу. Для прискорення процесу можна направити заражений файл за зразок Лозинському.
Антивірусні програми за своїм призначенням поділяються на детектори, фаги, ревізори, фільтри та вакцини. Розглянемо їх характеристики більш докладно.
Детектори служать тільки для виявлення вірусів у комп'ютері. Фаги лікують його від вірусної інфекції. Дуже часто функції детектора та фага суміщені в одній програмі, а вибір режиму роботи здійснюється завданням відповідних параметрів (опцій, ключів). На початку вірусної ери кожний новий вірус визначався та лікувався окремою програмою. При цьому для деяких з вірусів (наприклад, VIENNA) цих програм було не менше десятка. Згодом окремі програми почали виявляти та лікувати декілька типів вірусів, тому їх стали звати полідетекторами та поліфагами відповідно. Сучасні антивірусні програми знаходять і знешкоджують багато тисяч різновидів вірусів і заради простоти їх звуть коротко детекторами та фагами.
Серед детекторів та фагів найбільш відомими та популярними є програми Aidstest, DrWeb (фірма ДиалогНаука, Росія), Scan, Clean (фірма McAfee Associates, США), Norton AntiVirus (фірма Symantec Corporation, США). Ці програми періодично (в середньому двічі на місяць) поновлюються, даючи користувачеві змогу боротися з новими вірусами. Показником важливості антивірусних засобів стало включення до складу операційної системи MS-DOS утиліти MSAV (MicroSoft AntiVirus). Щоправда, цей продукт був розроблений фірмою Central Point Soft Ware (автором славнозвісних PCTools та PCShell) і звався CPAV, а згодом був куплений фірмою MicroSoft. Утиліта MSAV є одночасно детектором, фагом, ревізором та вакциною.
Під час запуску фагів у пам'яті комп'ютера не повинно бути резидентних антивірусних програм, які блокують запис на диск (фільтрів).
Ще одним типом антивірусних програм є ревізори. Ці програми можуть виявляти факт зараженості комп'ютера новими вірусами, слідкуючи за всіма змінами системних областей та файлової структури на вашому ПК. При першому запуску ревізор утворює таблиці, куди заносить інформацію про вільну пам'ять, Partition Table, Boot, директорії, файли, що містяться у них, погані кластери тощо. При повторному запуску ревізор сканує пам'ять та диски і видає повідомлення про всі зміни, що відбулися у них з часу останнього сеансу ревізії. Нескладний аналіз цих змін дозволяє надійно визначити факт зараження комп'ютера вірусами. Серед ревізорів, мабуть, найбільш популярною є програма ADinf (фірма ДиалогНаука, Росія). Вже згадувана програма MSAV також може виконувати функції ревізора.
Свого часу, коли не було надійних засобів боротьби з вірусами, широкого поширення набули так звані фільтри. Ці антивірусні програми блокують операцію записування на диск і виконують її тільки при вашому дозволі. При цьому легко визначити, чи то ви санкціювали команду на запис, чи то вірус налагаться щось заразити. До числа широко відомих свого часу фільтрів можна віднести програми VirBlk, FluShot, Anti4us. До речі, остання програма німецького виробництва і при читанні її назви ми одержимо щось на зразок "антивірус". Зараз фільтри майже не використовують, оскільки вони, по-перше, дуже незручні, бо відволікають час на зайвий діалог, по-друге, деякі віруси можуть обманювати їх. Відмітимо утиліту П.Нортона DISCMON, яка у режимі Protect здійснює саме функцію фільтра.
Нарешті до антивірусних програм відносяться вакцини. Зауважимо відразу, що їх поширення було дуже обмеженим раніше, а зараз вони практично зовсім не використовуються. Справа у тому, що вакцини призначені для боротьби з дуже обмеженими класами вірусів і для кожного їх типу потребують досить складної розробки відповідних програм. Пояснимо на прикладах суть дії вакцин. Як ми вже казали раніше, вірус VIENNA проставляє у зараженому файлі неіснуючий час утворення (62 секунди). Це ж саме робить і вакцина проти вказаного вірусу. Аналогічно, вакцина проти вірусу BLACK FRIDAY використовує той факт, що цей вірус прикметою зараженості використовує сполучення MsDos, що записується у кінець файлу-жертви.
Розглянемо тепер деякі із згаданих вище антивірусних програм.
Найпоширеніші антивіруси